In mehreren US-Städten wurden innerhalb weniger Tage Saugroboter gehackt und von Angreifern ferngesteuert. Dabei nutzten die Hacker die eingebauten Lautsprecher der Geräte, um Beschimpfungen zu brüllen. Betroffen waren ausschließlich Roboter des chinesischen Herstellers Ecovacs, Modell Deebot X2.
Rassistische Beschimpfungen über den Lautsprecher
Einer der Vorfälle ereignete sich bei Daniel Swenson, einem Anwalt aus Minnesota. Als er gerade einen Film schaute, begann sein Saugroboter plötzlich, sich merkwürdig zu verhalten. Zunächst hörte er nur unklare Geräusche, die wie ein gestörter Funkspruch wirkten. Über die zugehörige Ecovacs-App stellte er fest, dass ein Fremder die Kamera und Fernsteuerung des Roboters übernommen hatte.
Swenson resetete die Zugangsdaten des Geräts und setzte sich wieder zu seiner Familie. Doch der Roboter begann erneut, sich zu bewegen – diesmal verbunden mit deutlich vernehmbaren Beleidigungen, die über den Lautsprecher zu hören waren. Die Stimme schrie rassistische Schimpfwörter, während Swenson fassungslos zusah.
"Es klang nach einem Teenager", vermutet Swenson. Er schaltete den Roboter sofort ab und brachte ihn in die Garage, um ihn nie wieder zu benutzen.
Sicherheitsmängel bekannt
Solche Vorfälle ereigneten sich nicht nur bei Swenson. Auch in Los Angeles und El Paso berichteten Besitzer von ähnlichen Angriffen. Die Hacker steuerten die Geräte durch ihre Wohnungen, belästigten ihre Haustiere und sprachen Beleidigungen über die Lautsprecher. Wie viele Geräte insgesamt betroffen waren, ist derzeit unklar.
Sicherheitsforscher hatten Ecovacs bereits Monate vor den Vorfällen auf gravierende Sicherheitslücken hingewiesen. Die Bluetooth-Schnittstelle der Roboter war besonders anfällig, was Angreifern aus über 100 Metern Entfernung die Kontrolle über das Gerät ermöglichen konnte. Besonders problematisch: Der PIN-Schutz, der den Zugriff auf die Kamera und Fernsteuerung sichern soll, konnte leicht umgangen werden.
Ecovacs reagiert
Nachdem Daniel Swenson den Vorfall gemeldet hatte, erhielt er schließlich eine Rückmeldung von Ecovacs. Der Hersteller bestätigte, dass Swensons Account von einer unautorisierten Person gehackt worden sei. Als Grund für den Angriff gab das Unternehmen an, dass Swensons Zugangsdaten möglicherweise durch einen sogenannten "Credential-Stuffing"-Angriff gestohlen wurden. Dabei werden gestohlene Anmeldedaten von anderen Webseiten wiederverwendet.
Ecovacs versprach außerdem, Sicherheitsupdates für die betroffenen Modelle zu veröffentlichen. Trotzdem bleibt die Sorge, dass Hacker die Geräte nutzen könnten, um unbemerkt in die Privatsphäre der Besitzer einzudringen.